XSS漏洞挖掘的方法可以按有无源码的情况分为黑盒测试和白盒测试。
黑盒测试主要是通过发送特意构造攻击字符串来验证漏洞,比如。请求后看是否会弹框,若会则代表存在XSS,反之则不存在。
白盒测试是通过分析源代码来检测XSS漏洞,根据不同的编程语言采取不同的词法、语法分析方式,然后通过污点分析(追踪用户的输入数据是否达到特定的漏洞触发函数)的思路来检测漏洞。
我们来具体了解一下这两种方法。
黑盒测试
对于测试人员,多数情况下是没有目标网站的源码,对这种无源码的网站测试,我们称为黑盒测试。下面我会从人工测试和工具自动测试两方面来讲解一些常用的黑盒测试技术。
人工测试
人工测试的主要思路就是在一切可输入数据的地方输入“XSSpayload”(测试用例),这些地方包括所有的GET、POST、Cookie、HTTP头。提交数据之后,看网站的输出是否解析了前面输入的XSSpayload。
我常用的XSSpayload有以下几个。搜索“XSScheatsheet”,也可以找到很多这种测试用例。
Cross-sitescripting(XSS)cheatsheet
XSSFilterEvasionCheatSheet
HTML5SecurityCheatsheet